首页 -> 安全研究

安全研究

安全漏洞
微软IE Scriptlet脚本解释漏洞

发布日期:2000-08-15
更新日期:2000-08-15

受影响系统:

   Microsoft Internet Explorer 4.x
   Microsoft Internet Explorer 5.x
       - Microsoft Windows 98
       - Microsoft Windows 95
       - Microsoft Windows NT 4.0
       - Microsoft Windows NT 2000
描述:

微软IE中的Scriptlet脚本组件(即调用Scriptlet脚本的ActiveX控件)本来被设计成只
用来解释HTML 文件,但是它可以被用来解释任何类型的文件。
由于这个设计上的失误,一个恶意的网站管理员可以通过向在本地计算机域上以特权等
级运行的文件中注入合法的HTML代码,从而取得对远程系统上的知名文件的读权限。这
个本地文件中包含一个脚本,可以把远程系统上的知名文件转发给网站管理员。能够读
取的文件仅限于能在浏览器窗口中打开的文件(即.txt,.html或.js文件,不包括.exe
文件)。

<* 来源:Juan Carlos Garcia Cuartango *>




建议:

微软已经发布如下补丁用来消除这个漏洞。

http://www.microsoft.com/windows/ie/download/critical/patch11.htm




浏览次数:9967
严重程度:0(网友投票)
本安全漏洞由绿盟科技翻译整理,版权所有,未经许可,不得转载
绿盟科技给您安全的保障